Hack door hacktivisten tijdens staking
Vorige maand bracht de NCTV het jaarlijkse 'Cybersecuritybeeld Nederland 2023' (CSBN2023) uit. Terwijl dit voor cyberspecialisten een schat aan informatie is, kan het voor velen wellicht wat ontoegankelijk overkomen. Echter, het volgende verhaal uit de CSBN2023 is begrijpelijk, boeiend en leerzaam voor iedereen:
Een doordeweekse dag, maar in de fabriekshal van BIV Plastics is niemand te vinden. Dit middelgrote bedrijf produceert kunststoffen met kritische toepassingen voor onder andere de lucht- en ruimtevaart en raffinaderijen. Medewerker Wim is echter het meest trots op de dagelijkse levering van medische verpakkingen voor ziekenhuizen in de regio. Maar vandaag even niet. Er wordt namelijk gestaakt. Na geruime tijd onderhandelen over een nieuwe CAO zijn de gesprekken vastgelopen en daarop hebben de werknemers het werk neergelegd.
Devon is de zoon van Wim. Thuis spreken ze over de frustraties van het werk en de stijgende inflatie. Zelf is Devon ook gefrustreerd door het bedrijf waar zijn vader werkt. Hij heeft zich aangesloten bij een groepering van milieuactivisten en is bang dat de productie van BIV Plastics schadelijk is voor mens en omgeving. Als het aan hem ligt blijft de fabriek langer dicht. Naast milieubescherming heeft Devon nog een nieuwe passie ontdekt: hacken. Hoewel hij nog niet zijn eigen codes kan ontwikkelen, heeft hij al wel snel geleerd om toegankelijke, kant-en-klare hacktools te vinden en gebruiken.
De gedachte was al eerder bij Devon opgekomen, maar als zijn vader thuiskomt van weer een dag staken zonder doorbraak, besluit hij actie te ondernemen. Hij gaat digitaal rondneuzen bij de plasticfabriek. Met de speciale zoekmachine Shodan ontdekt hij dat verschillende apparaten van BIV Plastics verbonden zijn met het internet. Hij vindt zelfs enkele sensoren die als operationele techniek (OT) het productieproces begeleiden. Omdat hij niet weet wat er precies gebeurt als hij aan de sensoren gaat knoeien, zoekt hij verder naar een meer publiek zichtbaar systeem.
Hij vindt een ander doelwit. De software die het mogelijk maakt de website te beheren en informatie daarop te plaatsen, het Content Management System (CMS), blijkt niet up-to-date. Devon weet met zijn tools de toegang te kraken. Ook raadt hij eenvoudig de gebruikersnaam en het wachtwoord die toegang geeft tot het portaal van de webhoster (admin, BIV12345). Eenmaal in het CMS besluit hij de website te defacen, oftewel digitaal te bekladden. Op de voorpagina staat groot de slogan van zijn groepering: ‘People & PLANET’ en een dikke streep door ‘Profit’. Via sociale media verspreidt de actiegroep razendsnel hun actie. Ook verandert Devon de wachtwoorden voor toegang tot de webhoster en die van de e-mailadressen. Na 24 uur weet BIV Plastics de website offline te halen en weer toegang te krijgen tot de webhoster. Het zal tot na het einde van de staking duren voordat de website weer in oude staat is hersteld. Verrast door het gemakkelijke succes van Devon weten mede-activisten in de weken daarna de defacement te herhalen bij websites van andere bedrijven die zij vervuilend vinden.
Na 24 uur weet BIV Plastics de website offline te halen en weer toegang te krijgen tot de webhoster. Het zal tot na het einde van de staking duren voordat de website weer in oude staat is hersteld. Verrast door het gemakkelijke succes van Devon weten mede-activisten in de weken daarna de defacement te herhalen bij websites van andere bedrijven die zij vervuilend vinden.
Duiding
Een website is meer dan een visitekaartje. Het is vaak ook een platform om bestellingen aan te nemen en diensten te leveren, en kan op verschillende manieren worden gehackt. In dit scenario heeft een persoon met een activistisch motief en met gratis en gemakkelijk te gebruiken aanvalsmiddelen schade aan weten te richten. In dit geval ook nog eens op een kwetsbaar moment.
Het had ook anders kunnen aflopen. Een aanvaller met een ander motief en meer ervaring had mogelijk ook de productielijn kunnen saboteren met alle gevolgen van dien, of verder misbruik kunnen maken van de toegang bij de webhoster. En wat als de aanval niet van buitenaf, maar van binnenuit was gekomen? Had Devon via de werklaptop van Wim, of een medewerker vanuit de fabriek, ook andere systemen kunnen aanvallen?
Kernvragen voor de lezer
- Weet u welke systemen van uw organisatie via het internet te benaderen zijn?
- Hoe beheert u tot welke systemen verschillende medewerkers toegang hebben, en kunt u die toegang ook adequaat aanpas sen bij het veranderen of het beëindigen van de functie? Registreert u ook de activiteiten van medewerkers op de systemen?
- Welke controles toetsen het correct functioneren van uw systemen en OT-apparatuur (zoals sensoren)?
- Heeft u in uw continuïteitsplan ook een communicatieplan opgenomen als u geen toegang heeft tot uw officiële communicatiekanalen?
- Weet u welke verplichtingen u heeft wanneer zich een cyberin cident voordoet vanwege regelgeving en verzekeraars? Weet u hoe u aangifte kunt doen bij de politie.
Bron: Cybersecuritybeeld Nederland 2023